文章总结： NginxUI存在未授权远程代码执行漏洞CVE-2026-42238，CVSS评分9.0。漏洞源于备份恢复端点/api/restore在应用重启后10分钟内无需认证，攻击者可上传恶意备份文件覆盖配置文件并注入操作系统命令。该漏洞在Docker环境中危害极大，可能导致主机完全失控。建议立即升级至修复版本，若无法升级需谨慎重启并监控网络请求。 综合评分： 88 文章分类： 漏洞分析,应急响应,解决方案,WEB安全,云安全

Nginx UI的未授权远程代码执行

sec随谈 sec随谈

sec随谈

2026年4月29日 09:05 北京

在小说阅读器读本章

去阅读

新披露的 脆弱性, 追踪为 CVE-2026-42238, 在流行的基于 Web 的管理器 Nginx UI 中,旨在通过 AI 辅助和一键部署简化 Nginx 集群,允许未经身份验证的攻击者实现远程代码执行（RCE）,CVSS 得分为 9。0。

的 缺陷 利用应用程序备份和恢复逻辑中的 “与时间的赛跑” 设计选择,可能将完整的服务器控制权移交给任何有互联网连接的人。

该漏洞以备份恢复端点（POST/api/restore）为中心。为了方便初始设置,Nginx UI 在流程开始后的前 10 分钟内完全未对该端点进行身份验证。

虽然该逻辑适用于新安装,但它包含一个致命的疏忽。每次进程重新启动时,10 分钟的未经身份验证的窗口都会重置。无论是容器重启、升级还是健康检查触发器,“门”都会再次完全打开。攻击者可以上传恶意备份档案,覆盖应用程序的核心配置文件（app。ini）及其 SQLite 数据库。

通过控制恢复的 app。ini,攻击者可以向 TestConfigCmd 等设置注入任意操作系统命令。一旦应用程序自动重新启动以应用这些“恢复的”设置,单个后续请求就会执行攻击者的命令。

由于 Nginx UI 的典型部署方式,此缺陷的后果尤其严重。

1、在 Docker 环境中—主要分发方法—,Nginx UI 通常以 root 身份运行。如果容器使用特权模式或主机挂载,这将为攻击者提供完全的主机访问权限。

2、攻击者可以获得对数据库中存储的所有 Nginx 配置、TLS 私钥和机密的完整读取访问权限。

3、攻击者可以停止或永久错误配置 Nginx 和 UI,导致托管服务完全中断。

开发团队有 发布 一个从基于时间的安全性转向无条件身份验证的补丁。

如果您无法立即升级,请非常谨慎地重新启动 Nginx UI 容器。系统启动后立即监控网络日志中是否有任何 POST 请求到/api/restore。

参考链接：

https://github.com/0xJacky/nginx-ui/releases

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Nginx UI的未授权远程代码执行》